SECURITY/해킹사고 사례

[해킹사고사례] 악성코드 감염 VDI 시스템

VDI 악성코드 감염 해킹 사고 1. 개요 xx 개발 센터 개발자 VDI 6대 악성코드 동시 감염 2. 사고 발생 시점 추정 24일(월) 아침 VDI 접속 불가 상태 최초 접수 알약 백신 소프트웨어 점검 실행시간 22(토) 낮 12:00 Gen:Variant.Mikey , Gen:Variant.Midie 발견 21(금) 퇴근 이후 ~ 22(토) 알약 백신 점검 시간(12:00) 사이 악성코드 감염 추정 3. 분석 내용 현상: 사용자 접속 불가 및 OS 부팅 불가 (안전모드 진입 불가) 알약 백신 중앙 관리 서버 조사 - 감염 대상 VDI 6대 -> 진단 명칭 Gen:Variant.Mikey, Gen:Variant.Midie (비트디펜더 엔진의 제네릭(Gen, Generic) 진단 / 정규 진단이 아닌 특..

2022. 2. 4. 09:12

SECURITY/보안기술(SECOPS)

보안 위협 이벤트 탐지 룰 Playbook

Elasticsearch query Rule에 대한 보안 위협 탐지를 slack 알람으로 받는내용입니다. 일부는 메일로도 발송중.. 폐사는 주로 T사 APT 보안 솔루션을 활용하여 엘라스틱과 연동하여 사용중이며 해당 룰은 frequency(빈도), priority(우선순위)등 다양한 변수를 조합하여 운영중입니다. 대표적인 악성 행위에 대한 탐지 rule을 예로 든것입니다. Log4j Log4Shell 공격 탐지 query: deviceHostName:DDI AND name:("CVE-2021-44228 - OGNL EXPLOIT - HTTP(REQUEST)" OR "POSSIBLE HTTP HEADER OGNL EXPRESSION EXPLOIT - HTTP(REQUEST)" OR "POSSIBLE USE..

2022. 1. 28. 14:41

SECURITY/해킹사고 사례

[해킹사고사례] 랜섬웨어 감염 사례

랜섬웨어 (ransomeware) 란? 사용자의 동의 없이 컴퓨터에 설치되어 파일을 암호화 시킨 후 이를 인질로 삼아 사용자에게 금전(돈)을 요구하는 악성코드 입니다. 포스팅 내용에 대한 모든 취약점은 현재 모두 조치 완료된 상태 입니다. 1. 랜섬웨어 감염 사례 1 xx 서비스 업체 가상머신 (VM) 총 4대 랜섬웨어(ransomware) 감염 - 감염경로 방화벽 및 각종 보안 장비 로그 분석 결과 러시아 IP -> RDP (원격데스크톱) 접속 -> 11.12.34.55 -> 접속 후 11.12.34..0/24 동일 네트워크 대역 Port Scan -> 11.12.34.58 접속 -> RDP 접속 -> 10.xx.xx.20 , 10.xx.xx.21 VM (클라우드 인프라 관리 네트워크 대역 접속 성공)..

2019. 1. 17. 11:19